O’ZBEKISTON RESPUBLIKASI AXBOROT
TEXNOLOGIYLARI VA KOMUNIKATSIYALARNI RIVOJLANTIRISH
VAZIRLIGI
MUHAMMAD AL-XORAZMIY NOMIDAGI TOSHKENT AXBOROT
TEXNOLOGIYALARI UNIVERSITETI
MUSTAQIL ISH
Toshkent-2023 yil
Bajardi :Mansurov Oybek
Tekshirdi: Korabayev Eldor
Mavzu: Tarmoq hujlarini aniqlash vositalari
Reja:
II. Kompyuter hujumlarini aniqlash vositalari.
II.1. Hujumlarni aniqlash tasnifi.
II.2. Hujumlarni aniqlash tizimlarining afzalliklari.
Xulosa.
Foydalanilgan adabiyotlar.
Kirish.
Mavzuning dolzarbligi:Muhtaram Prezidentimiz Sh.Mirziyoyev Andijon viloyati saylovchilar vakillari
bilan
uchrashuvdagi
nutqida “Viloyatda transport infratuzilmasini, muhandislik va axborot
kommunikatsiyalarini rivojlantirish bo’yicha ulkan ishlar qilinmoqda” .Bugungi kunda axborot
texnologiyalari sohasi respublikamizning rivojlanishida muhim o‘rin tutib kelmoqda. O‘tgan yillar
mobaynida O‘zbekiston Respublikasi hukumati tomonidan yurtimizda axborot texnologiyalarini keng
joriy qilish va rivojlantirish borasida olib borgan siyosati hozirgi kunda o‘z natijalarini ko‘rsatmoqda.
2019 yilda axborot-kommunikatsiya texnologiyalari sohasining asosiy ko‘rsatqichlari quyidagicha
Iqtisodiy raqamlarga nazar tashlanadigan bo‘lsak, o‘tgan yildagi natijalarni ijobiy deb baholasa
bo‘ladi. AKT sohasida ko‘rsatilganlar jami xizmatlar hajmi 10,6 trillion so‘mgacha yetgan, 104%
o‘sishini ko‘rsatadi. Aloqa va axborotlashtirish xizmatlari esa 176 million dollargacha, ya’ni 130
foizgacha o‘sgan.Yana bir muhim ko’rsatqichlardan biri:
• Kompyuter va dasturlash xizmatlari hajmi 2019 yil natijalari bo‘yicha 119 foizgacha o‘sdi va 1,078
milliard so‘mni tashkil etdi (rejada — 920 million so‘m);
• Dasturiy mahsulotlar va xizmatlar eksporti hajmi 15,8 million dollargacha oshdi va 158 foiz o‘sish
dinamikasini ko‘rsatdi (rejada — 10 million dollar);
• Axborot va aloqa sohasida ish haqi o‘sish dinamikasi ham 119 foizni ko‘rsatilib o’tildi. Hozirgi
kunda mazkur sohada o‘rtacha maosh 4 million so‘mni tashkil etiladi (umumrespublika bo‘yicha ish
haqi — 2,3 million so‘m);
• AKT sohasida xorijiy kapital ishtirokidagi korxonalar soni yildan-yilga oshib boryapti: 2019 yil
natijalari bo‘yicha ularning soni 269 ni tashkil etdi va 73 taga ko‘paygan.
2019 yilda Investitsiya dasturiga kiritilgan loyihalar bo‘yicha Vazirlik tomonidan jami 9 ta loyiha 177,5
million dollarga teng hajmida amalga oshirilib, 102 foiz o‘sish ko‘rsatqichlarni ko‘rsatdi (rejada —
174,02 million dollarga teng loyihalar qiymati). Jumladan:• To‘g‘ridan-to‘g‘ri xorijiy investitsiya
asosida — 97,14 million dollarga teng loyihalar (rejada — 94,5 million dollarga teng, o‘sish dinamikasi
— 103 foiz);
• Hukumat kafolati ostida xorijiy kreditlar — 53,38 million dollarga teng loyihalar (rejada — 43,56
million dollarga teng, o‘sish dinamikasi — 123 foiz)dir;
• Korxonalarning o‘z mablag‘lari — 26,93 million dollarga teng loyihalar (rejada — 35,96 million
dollarga teng, bajarish ko‘rsatqichi — 75 foizni tashkil etiladi).
2019 yilda AKT sohasida yana bir qator muhim yơnalishlar bơyicha ishlar amalga oshirildi.Internet
tarmog‘ining milliy segmenti “UZ” domenida ro‘yxatdan ơtgan veb-saytlarni tashkil etish orqali
iste'molchilarga qulay xizmatlar ko‘rsatish, yoshlarning onlayn tarzda bilim olishlari va aholiga
elektron savdo tizimlari orqali xizmatlar ko‘rsatish yơlga qo‘yilgan.
Onlayn-to‘lov tizimidagi ishlar ham yahshi ko‘rsatqichlar bilan yakunlandi, ya’ni 2019 yilda onlayn-
to‘lov tizimlari orqali 299,3 million tranzaktsiyalar amalga oshirildi va jami 6,5 trillion to‘lov so‘mni
tashkil etdilar.
Muhtaram Prezidentimiz SHavkat miramonovich tomonidam ilgari surilgan Beshta tashabbuslarni
Uchinchi si aynan bizning sohamizga oiddir.
Axborot texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligiga ilg‘or xalqaro tajribalar
asosida barcha shahar va tumanlar markazlarida Raqamli texnologiyalar o‘quv markazlarini tashkil
etish bo‘yicha topshiriq berildi. Bu markazlarda elektron tijorat va dasturlash bepul o‘rgatiladi,
axborot texnologiyalari sohasida tadbirkorlik bilan shug‘ullanish bo‘yicha innovatsion ko‘nikmalar
beriladi, “startap” loyihalarga yordam ko‘rsatiladi.
Bugungi kunda barcha maktablarda kompyuter texnikalari bo’lishiga qaramasdan, internet
xizmatidan yetarli darajada foydalanilmayotgani tanqid qilindi. Xalq ta‘limi vazirligi, Axborot
texnologiyalari va kommunikatsiyalarini rivojlantirish vazirligiga 2021 yilgacha barcha maktablardagi
kompyuter sinflarini zamonaviy texnologiyalar va yuqori tezlikdagi internet tarmog‘i bilan ta‘minlash
bo‘yicha chora-tadbirlar rejasini ishlab chiqish vazifasi qo‘yildi.
Tashabbuskor tadbirkorlarni jalb qilgan holda, kompyuter o‘yinlari markazlarini tashkil etish, ularda
yoshlarning bilim va dunyoqarashini kengaytirishga xizmat qiladigan test, viktorina, rivojlantirish
strategiyalari va boshqa foydali dasturlar bo’lishi zarurligi ta‘kidlandi.
Uchinchi tashabbusda ko’zlangan maqsadni yana mukammal bajarish uchun hurmatli prezidentimiz
Shavkat Mirziyoyev Oliy Majlisning Senati va Qonunchilik palatasiga navbatdagi Murojaatnomasini
taqdim etdi. Murojaatnoma davomida 2020-yilni O'zbekistonda “Ilm-ma'rifat va raqamli iqtisodiyotni
rivojlantirish yili” deb atashni taklif qildi. Deputatlar va Senat a'zolari bu taklifni olqishlar bilan qo'llab-
quvvatlashdilar. Bu borada qilinadigan ishlar rejasi tuziladi.
Kurs ishining maqsadi:Axborot xavfsizligida hujumlarni aniqlash uchun muhim xususiyatlarini
tavsiflash.
Mavzuni vazifasi:* Xujumlarni aniqlash.
* Kompyuter hujumlari va ularni aniqlash texnologiyalarini o’rganish.
* Hujum modellari o’rganish.
* Kompyuter hujumlarini aniqlash vositalari o’rganish.
Kurs ishining tarkibi: Kirish bilan boshlandi. 2 ta bobodan iborat. I- bob 2 ta rejadan iborat. 2- bob
ham 2 ta rejadan tashkil topgan. Xulosa va foydalanilgan adabiyotlar bilan yakunlanadi.
I. BOB. Xujumlarni aniqlash
I.1. Kompyuter hujumlari hamda ularni aniqlash texnologiyalari.
(Hujum) (hujum) atamasining aniq ta’rifi hali ham mavjud emasdir. Har bir xavfsizlik mutaxassisi
buni o’zini fikricha izohlaydi. Men esa quyidagi ta’rifni eng to’g’ri va to’liq,aniq deb aytishim mumkin.
Axborot tizimiga hujum qilish, buzg’unchining axborot tizimidagi zaifliklardan foydalanadigan va
qayta ishlanadigan ma’lumotlarning mavjudligi, yaxlitligi va konfidentsialligi yo’qolishiga olib
keladigan qasddan qilingan harakatlariga aytish mumkin.Biz axborot tizimining zaif tomonlarini yo'q
qilishimiz, shuningdek, hujumlarni amalga oshirish imkoniyatini yo’q qilishimiz mumkin.
Bugungi kunga kelib, qancha hujum usullari mavjudligi aniq emas. Ularning aytishicha, hozirgi
kungacha bu sohada jiddiy matematik tadqiqotlar olib borilmaganligi to’g’risida ma’lumot bor. Ammo
1996 yilda Fred Koen virusli texnologiyalarning matematik asoslarini bayon qilgan edi. Ushbu ishda
viruslar sonini aaniqlash qiyin ya’ni cheksiz ekanligi isbotlangan. Shubhasiz, hujumlar soni cheksizdir,
chunki viruslar ko’plab hujumlarning to’plamidir.
Hujum modellari.
Hujumning an’anaviy modeli (birdan birgacha) (1-rasm) yoki (bittadan ko’pgacha) (2-rasm)
tamoyiliga asoslangan, ya’ni. hujum bir manbadan keladi. Tarmoq xavfsizlik vositalarini ishlab
chiquvchilar (xavfsizlik devori, hujumlarni aniqlash tizimlari va boshqalar) an’anaviy hujum modeliga
qaratilgandir.
Himoyalangan tarmoqning turli nuqtalarida ma’lumotlarni markaziy boshqaruv pultiga uzatadigan
himoya tizimining agentlari (sensorlar) o’rnatiladi. Bu tizimning hajmini yanada osonlashtiradi,
masofadan boshqarish qulayligini ta'minlaydi. Biroq, bunday model nisbatan yaq orada (1998 yilda)
aniqlangan xavf-xatarli hujumlarga dosh berolmaydi.
Rasm 1. Birma-bir munosabatlari.
Rasm 2. Birdan ko'pga bo’lgan munosabatlar.
Tarqalgan hujum modeli turli xil printsiplardan foydalanadi. An’anaviy modeldan farqli o’laroq,
taqsimlangan model ko’pchilikning o’zaro munosabatlarini (3-rasm) va ko’pdan-ko’p munosabatlarni
ishlatadi (4-rasm).
Rasm 3. Ko’pchilikning o’zaro munosabatlari.
Rasm 4. Ko’pchilik bilan o’zaro munosabatlari.
Tarqalgan hujumlar (hujumlarning klassik) rad etilishiga, aniqrog’i, toshqin yoki bo’ron hujumlari deb
nomlanuvchi ularning quyi qismiga asoslangan (bu atamalar (bo’ron), (toshqin) yoki (ko'chki) deb
tarjima qilsa ham bo’ladi). Ushbu hujumlarning ma’nosi hujum qilingan tugunga ko’plab paketlarni
yuborish hisoblanadi. Hujum qilingan tugun muvaffaqiyatsiz bo’lishi ham mumkin, chunki u
yuborilgan paketlarning ko’chishi paytida (bo’g’ib qo’yadi) va vakolatli foydalanuvchilarning
so'rovlarini ko'rib chiqolmaydi.
SYN-Flood, Smurf, UDP toshqini, Targa3 va hokazo hujumlar ushbu printsip asosida ishlaydi. Ammo,
agar hujum qilingan tugunga kanalning o’tkazish qobiliyati tajovuzkorning o’tkazish qobiliyatidan
oshsa yoki hujum qilingan tugun noto’g’ri sozlangan bo’lsa, unda bunday hujum muvaffaqiyat
keltirmaydigan hujum
sanaladi. Misol uchun,
ushbu
hujumlardan foydalanish sizning
provayderingizning ishini buzishga urinish foydasizdir. Ammo tarqatilgan hujum bitta Internet
nuqtasidan emas, birvaqitda ikkita uchta , bu trafikning keskin o’sishiga va hujum qilingan tugunni
o’chirishga olib kelishi mumkin.
Masalan, Rossiya-Online ma'lumotlariga qaraganda, 2000 yil 28 dekabrda ertalab soat 9.00 dan
boshlab ikki kun davomida Armanistonning eng yirik Internet-provayderi (Arminco) tarqatilgan
hujumga duchor bo’lgan edi. Bunday holda, turli mamlakatlardan kelgan 50 dan ortiq mashina
hujumga aloqador va Arminco-ga ma’nosiz xabarlar kelgan. Ushbu hujumni kim uyushtirganini va
xaker qaysi davlatda turib uyishtiriganini aniqlashning ilojisi bo’lmagan.
Hujum asosan Arminco tomonidan amalga oshirilgan bo’lsa ham, Armanistonni Butunjahon Internet
tarmog’i bilan bog’laydigan butun magistrali juda ko’p edi. Dekabr oyida aysidur kuni (Arminco) va
boshqa bir provayder – (ArmenTel) hamkorligi tufayli aloqa to'liq tiklangan. Shunga qaramay,
kompyuter hujumi davom etaverdi, ammo kamroq shiddat bilan.
I.2. Hujum bosqichlari.
Hujumning quyidagi bosqichlarini ajratish mumkin:
1. Hujum yoki (ma’lumot to’plash) oldidan dastlabki harakatlar,
2 . Aslida (hujumni amalga oshirish),
3 . Hujumni tugatish.
Odatda, ular hujum haqida gapirganda, ular birinchi va oxirgi haqida unutib, ikkinchi bosqichni
anglatadi. O’z navbatida, ma’lumot to’plash va hujumni tugatish (izlar) ham hujum bo’lishi mumkin va
uni uch bosqichga bo’lishimiz mumkin (5-rasmga qarang).
Hujumlarni amalga oshirish bahonalari
Hujumni amalga oshirish
Hujumni tugatish
5-rasm. Hujumning bosqichlari.
Axborot to’plash hujumning asosiy bosqichi hisoblanadi. Aynan shu bosqichda tajovuzkorning
samaradorligi hujumning (muvaffaqiyati) kalitidir. Birinchidan, hujumning maqsadi tanlanadi va u
haqida ma'lumot to’planadi (operatsion tizimning turi va versiyasi, ochiq portlar va ishlaydigan
tarmoq xizmatlari, o’rnatilgan tizim va dasturiy ta’minot va uning konfiguratsiyasi va boshqalar).
Keyin, hujum qilingan tizimning eng zaif joylari aniqlanib, unga ta’sir qilishi tajovuzkor uchun kerakli
natijaga olib keladi. Hujum qiluvchi hujum maqsadi va boshqa tugunlar o’rtasidagi o’zaro ta’sirning
barcha kanallarini aniqlashga urinib ko’radi.
Bu nafaqat amalga oshirilayotgan hujum turini, balki uni amalga oshirish manbasini tanlashga imkon
beradi. Masalan, hujum qilingan tugun Unix va Windows NT ishlaydigan ikkita server bilan o'zaro
ta’sirini ko’rsatadi. Hujum qilingan tugun boshqa server bilan emas, balki bitta server bilan ishonchli
aloqalarga ega ega bo’ladi. Hujum qiluvchi hujumni amalga oshiradigan server qaysi hujumning
ishtirok etilishiga, qanday vositalarni tanlashga va hokazolarga bog’liqdir. Keyin olingan
ma'lumotlarga va kerakli natijaga qarab, eng katta ta’sir ko’rsatadigan hujum tanlanadi.
Masalan: SYN toshqini, ko'z yoshi, UDP bomba - tugunning ishlashini buzish uchun;
CGI-skript - saytga kirish va ma’lumotlarni o’g’irlash;
PHF - parol faylini o’g’irlash va uzoqdan parolni taxmin qilish va h.k.
Xavfsizlik devorlari yoki marshrutizatorlarda filtrlash mexanizmlari kabi an’anaviy xavfsizlik
xususiyatlari faqat hujumning ikkinchi bosqichida kuchga kiradi, birinchi va uchinchisini butunlay
unutilida. Bu shunchaki kuchli va qimmat himoyalar bilan hujumni to’xtatish juda qiyin bo’lishiga olib
keladi. Bunga misol tariqasida taqsimlangan hujumlardir. Birinchi bosqichda himoya vositalarini
ishga tushirish mantiqan to’g’ri keladi, ya’ni hujum qilingan tizim haqida ma'lumot to'plashning oldini
oladi.
Bu, agar hujumni butunlay oldini olmasa, hech bo’lmaganda tajovuzkorning ishini sezilarli darajada
murakkablashtirishi mumkindir. An’anaviy vositalar, shuningdek, qilingan hujumlarni aniqlash va
ularni amalga oshirishdan keyin zararni baholashga imkon bermaydi, ya’ni hujumning uchinchi
bosqichida ishlmaslikk tavsiya beraman. Shunday qilib, kelajakda bunday hujumlarning oldini olish
choralarini aniqlashning iloji yo’qligini ham bilib oldingiz.
Istalgan natijaga qarab, tajovuzkor hujumning bir yoki boshqa bosqichiga e’tibor qaratadi.
Masalan: xizmat ko’rsatishni rad etish uchun hujum qilingan tarmoq batafsil tahlil qilinadi, unda
bo’shliqlar va zaifliklar aniqlanadi;
Ma'lumotni o’g’irlash uchun asosiy e’tibor ilgari aniqlangan zaifliklardan foydalangan holda, hujum
qilingan tugunlarning ko’rinmas kirib borishiga qaratiladi.
Hujumlarni amalga oshirishning asosiy mexanizmlarini ko’rib chiqing. Bu ushbu hujumlarni aniqlash
usullarini tushunish uchun kerak. Bundan tashqari, tajovuzkorlarning tamoyillarini tushunish
tarmoqni muvaffaqiyatli himoya qilishning kaliti hisoblanadi.
1. Axborot to’plashHujumlarni amalga oshirishning birinchi bosqichi - bu hujum qilingan tizim yoki
tugun haqida ma’lumot to’plash hisoplanadi. U tarmoq topologiyasini aniqlash, xujum qilingan
tugunning operatsion tizimining turi va versiyasini, shuningdek mavjud tarmoq va boshqa xizmatlarni
aniqlashlar singari harakatlarni o’z ichiga oladi. Ushbu harakatlar turli usullar bilan amalga oshirilishi
mumkin.
Atrof-muhitni o’rganishAyni paytda, tajovuzkor hujumning taxmin qilinayotgan nishoni atrofida
tarmoq muhitini o'rganishdir. Masalan, “jabrlanuvchi” ning Internet-provayderi saytlari yoki hujum
qilingan kompaniyaning uzoq ofisining saytlaridir. Bu vaqtda buzg’unchi “ishonchli” tizimlarning
manzillarini (masalan, sheriklar tarmog’i) va hujum qilish uchun to’g’ridan-to’g’ri ulangan tugunlarni
(masalan, ISP yo’riqchisi) va boshqalarni aniqlashga urinishi mumkindir. Bunday harakatlarni
aniqlash qiyin, chunki ular yetarlicha uzoq vaqt davomida va xavfsizlik uskunalari tomonidan nazorat
qilinadigan hududdan tashqarida (xavfsizlik devori, hujumlarni aniqlash tizimlari va boshqalar)
amalga oshirilishidir.
Tarmoq topologiyasini aniqlashHujumchilar tomonidan ishlatiladigan tarmoq topologiyasini
aniqlashning ikkita asosiy usuli mavjud bo’lib:
TTL o’zgarishi (TTL modulyatsiyasi),
rekord marshrut
Birinchi usul Unix uchun traceroute va Windows uchun tracertdan foydalanishdir. Ular IP paketi
sarlavhasida (Vaqtni jonlantirish uchun) maydonidan foydalanadilar, bu tarmoq paketi orqali o’tgan
marshrutizatorlarning soniga qarab o’zgaradi. Ping yordam dasturidan ICMP paketining marshrutini
qayd etish uchun foydalanish mumkin ekan. Ko’pincha, tarmoq topologiyasini himoya to’g’ri
sozlanmagan ko'plab tarmoq qurilmalarida o'rnatilgan bo’lib SNMP protokoli yordamida aniqlash
mumkindir. RIP protokoli yordamida tarmoqdagi marshrutlash jadvali va hokazolar haqida ma’lumot
lar olishga harakat qilishingiz ham mumkin.
Ushbu usullarning ko’pi zamonaviy boshqaruv tizimlari tomonidan (masalan, HP OpenView,
Cabletron SPECTRUM, MS Visio va boshqalar) tarmoq xaritalarini yaratishda qo’llaniladi. Va xuddi
shu usullardan hujumchilar tomonidan hujum qilingan tarmoq xaritasini tuzishda muvaffaqiyatli
foydalanishingiz ham mumkin.
Tugunni aniqlashTugunni aniqlash, qoida tariqasida, ping yordam dasturidan foydalanib, ICMP
ECHO_REQUEST protokolini yuborish orqali ham amalga oshiriladi. ECHO_REPLY javob xabari tugun
mavjudligini bildiradi. Ko'p sonli tugunlarni, masalan, ping yoki nmapni parallel ravishda aniqlash
jarayonini avtomatlashtiradigan va tezlashtiradigan erkin tarqatiladigan dasturlar mavjuddir. Ushbu
usulning xavfliligi shundaki, ECHO_REQUEST so’rovlari tugunning standart vositalari bilan
o'rnatilmagan. Buning uchun trafikni tahlil qilish vositalari, xavfsizlik devori yoki hujumlarni aniqlash
tizimlaridan foydalansangiz bo’ladi.
Bu tugunlarni aniqlashning eng oson usuli. Lekin, uning ikkita kamchiliklari bor bular quyidagilardan
iborat.1. Ko'p tarmoq qurilmalari va dasturlari ICMP paketlarini blokirovka qilishadi va ularni ichki
tarmoqqa o’tkazmaydilar (yoki aksincha ularni tashqarida o’tkazmaydilar). Masalan, MS Proxy Server
2.0 paketlar ICMP orqali o’tishga ruxsat berilmaydi. Natijada to’liq bo’lmagan rasm chiqadi. Boshqa
tomondan esa, ICMP paketini blokirovka qilish, tajovuzkorga (birinchi himoya chizig’i) -
marshrutizatorlar, xavfsizlik devori va boshqalar mavjudligi haqida xabar beriladi.
2. ICMP so’rovlaridan foydalanish ularning manbasini aniqlashni osonlashtiradi, bu shubhasiz
tajovuzkorning vazifasiga kira olmasligi aniq.
Tugunlarni aniqlashning yana bir usuli mavjud bo’lib - bu tarmoq segmentidagi turli tugunlarni
aniqlashga imkon beradigan tarmoq kartasining (aralash) rejimidan foydalanishidir. Ammo, bu
tarmoq segmenti trafigi tajovuzkorga uning tugunidan kirish imkoni bo’lmagan hollardagina,
qo’llanilmaydi. Ushbu usul faqat mahalliy tarmoqlarda qo’llaniladi holos. Xostlarni aniqlashning yana
bir usuli bor bu usul DNS razvedkasi deb nomlanadi, sizning ismingiz serveriga kirish orqali
korporativ tarmoqdagi xostlarni aniqlash imkonini beradi.
Xizmatni aniqlash yoki portni skanerlashXizmatlarni identifikatsiya qilish odatda ochiq portlarni
aniqlash orqali amalga oshiriladi va (portni skanerlash). Bunday portlar ko’pincha TCP yoki UDP
protokollariga asoslangan xizmatlar bilan bog’liqdir. Masalan:
ochiq port 80 veb-serverni nazarda tutadi
25-port - SMTP pochta serveri,
31337th - BackOrifice troyan otining server qismi,
12345th yoki 12346th - NetBus troyan otining server qismi va boshqalar.
Xizmatlarni aniqlash va portlarni skanerlash uchun turli xil dasturlardan foydalanish ham mumkin,va
bu bepul. Masalan, nmap yoki netcat.
Operatsion tizimni aniqlashOperatsion tizimni masofadan aniqlashning asosiy mexanizmi turli xil
operatsion tizimlarda TCP / IP suyaklarini turli xil bajarilishini hisobga oladigan so’rovlarga javoblarni
tahlil qilishdir. Har bir Operatsion tizimda TCP / IP protokollari to’plamini amalga oshirishning o’ziga
xos usuli bo’lib, bu uzoq so’ralgan tugunga qaysi OS o’rnatilganligini aniqlash uchun maxsus so’rov
va javoblardan foydalanishga imkon ham beradilar.
Tugunlarning Operatsion tizimni aniqlashning yana bir samarasiz va o’ta cheklangan usuli bu oldingi
bosqichda topilgan tarmoq xizmatlarini tahlil qilishdir. Masalan, 139-chi ochiq port, uzoqdan xost
Windows operatsion tizimida ishlaydi degan fikirga kelishimizga imkon beradi. Operatsion tizim ni
aniqlash uchun turli xil dasturlardan foydalanishingiz mumkin. Masalan, nmap yoki queso.
Tugun rolini aniqlash
Hujum qilingan tugun haqida ma’lumot to’plash bosqichidagi so’nggi qadam bu uning ishini
aniqlashdir, masalan, xavfsizlik devori yoki Veb-server funktsiyalarini bajarishdir. Ushbu qadam faol
xizmatlar, xostlar nomlari, tarmoq topologiyasi va boshqalar to’g’risidagi to’plangan ma’lumotlar
asosida amalga oshiriladi. Masalan, 80-chi ochiq port veb-server mavjudligini ko’rsatishi mumkin,
ICMP-paketni blokirovka qilish mumkin xavfsizlik devori va DNS-ning proxy.domain.ru yoki
fw.domain.ru nomi xostlari o’zi uchun hizmat qiladi.
Xostning zaifliklarini aniqlashOxirgi qadam - zaifliklarni izlash. Ushbu bosqichda, buzg’unchi turli xil
avtomatlashtirilgan vositalardan foydalangan holda yoki qo'lda hujumni amalga oshirish uchun
ishlatilishi mumkin bo’lgan zaifliklarni aniqlashga hizmat qiladi. Shu kabi avtomatlashtirilgan
vositalardan ShadowSecurityScanner, nmap, Retina va boshqalarni ham ishlatish mumkin.
Hujumni amalga oshirishShu daqiqadan boshlab, hujum qilingan tugunga kirishga urinish shu zahoti
boshlanadi. Bundan tashqari, kirish to’g’ridan-to’g’ri bo’lishi ham mumkin, ya’ni. tugunga kirish
masalan, xizmat hujumini rad etishni amalga oshirishdir. To’g’ridan-to’g’ri kirish holatida hujumlarni
amalga oshirishni ikki bosqichga bo’lishimiz mumkin:
1-kirish;
2-boshqaruvni o’rnatish.
KirishKirish penetratsion xavfsizlik choralarini (masalan, xavfsizlik devori) yengib o’tishni anglatadi.
Buni turli yo’llar bilan amalga oshirish ham mumkin. Masalan, kompyuter xizmatidagi zaiflikdan
foydalanish yoki dushman tarkibni elektron pochta (makro viruslar) yoki Java dasturlari orqali
yuborishlar orqali ham amalga oshiriladi. Bunday tarkib xavfsizlik devorida (tunnellar) deb
nomlangan foydalanishlari mumkin (VPN tunnellari bilan adashmaslik kerak), ular orqali tajovuzkor
kirib boradi. Maxsus yordamchi dastur yordamida ma'mur yoki boshqa foydalanuvchi parolini
tanlashni (masalan, L0phtCrack yoki Crack) xuddi shu bosqichga o’tkazish mumkin.
Boshqaruvni o'rnatishKirishdan keyin tajovuzkor hujum qilingan tugunni boshqarishni o’rnatadi. Buni
troyan ot dasturini (masalan, NetBus yoki BackOrifice) kiritish orqali amalga oshirish mumkin.
Kerakli tugunni boshqarish va izlarni (supurib tashlash) ni o’rnatgandan so’ng, tajovuzkor hujum
qilingan kompyuter egasini bilmasdan turib, barcha zarur bo’lmagan ruxsatsiz harakatlarni amalga
oshirishi mumkin. Bunday holda, korporativ tarmoq tugunini boshqarish o’rnatilishi operatsion tizim
qayta ishga tushirilgandan keyin saqlanishi kerak. Buni yuklash fayllaridan birini almashtirish yoki
ishga tushirish fayllarida yoki registrda dushman kodiga havolani kiritish orqali amalga oshirish
mumkin. Hujum qilgan kishi tarmoq kartasining EEPROM-ni qayta dasturlay oladigan va OTni qayta
o’rnatgandan so’ng, u ruxsatsiz harakatlarni qayta amalga oshira olgan holatlar ma’lum. Ushbu
misolning sodda modifikatsiyasi tarmoq yuklash skriptida kerakli kodni yoki qismni amalga oshirish
(masalan, Novell Netware OS uchun).
Hujumlarni amalga oshirish maqsadlariShuni ta’kidlash kerakki, ikkinchi bosqichda hujumchi ikkita
maqsadga intilishi mumkin. Birinchidan, tugunning o’zi va undagi ma’lumotlarga ruxsatsiz kirishni
olish. Ikkinchidan, boshqa tugunlarga keyingi hujumlarni amalga oshirish uchun tugunga ruxsatsiz
kirish. Birinchi maqsad, qoida tariqasida, ikkinchi maqsad amalga oshirilgandan keyingina amalga
oshiriladi. Ya’ni, avvaliga tajovuzkor keyingi hujumlar uchun zamin yaratadi va shundan keyingina
boshqa tugunlarga kirib boradi. Bu hujum manbasini qidirishni yashirish yoki sezilarli darajada
murakkablashtirish uchun kerak.
Hujumni tugatishHujumni tugatish bosqichi - bu tajovuzkorni (supurish). Bu odatda xostlar
jurnallaridan tegishli yozuvlarni o'chirish va hujum qilingan tizimni asl holatiga, (hujumga uchragan)
holatga qaytaradigan boshqa harakatlar bilan amalga oshiriladi.
II.1. Hujum tasnifi
Hujumlarni tasniflashning har xil turlari mavjud. Masalan, passiv va faol, tashqi va ichki, qasddan va
bilmasdan bo'lishi. Biroq, amalda qo'llash mumkin bo'lmagan keng tasniflar bilan chalkashtirmaslik
uchun men ko'proq (hayotiy) tasnifni taklif qilaman:
1.Masofadan kirish Kompyuterni tarmoq orqali masofadan boshqarishga imkon beradigan hujumlar.
Masalan, NetBus yoki BackOrifice.
2.Mahalliy kirib borish Hujum, u ishlayotgan xostga ruxsatsiz kirishga olib keladi. Masalan, GetAdmin.
3.Xizmatni masofadan turib rad etish Internet orqali kompyuteringizni ishdan chiqarishga yoki qayta
ishga tushirishga imkon beradigan hujumlar. Masalan, Teardrop yoki trin()().
4. Xizmatni mahalliy rad etish Ular amalga oshirilayotgan kompyuterning ishlashini buzishga yoki
qayta ishga tushirishga imkon beradigan hujumlar. Bunday hujumning misoli - markaziy protsessorni
cheksiz pastadirga yuklaydigan (dushman) applikatsiya, bu boshqa dasturlarning so’rovlarini qayta
ishlashni imkonsiz qiladi.
5. Tarmoq skanerlari. Tarmoq topologiyasini tahlil qiladigan va hujum uchun mavjud bo'lgan
xizmatlarni topadigan dasturlar. Masalan, NMAP tizimi.
6. Zaiflik skanerlari Tarmoq tugunlarida zaifliklarni qidiradigan va hujumlarni amalga oshirish uchun
ishlatiladigan dasturlar. Masalan, SATAN yoki ShadowSecurityScanner.
7.Parol xakerlari Foydalanuvchi parollarini (oladigan) dasturlar. Masalan, Windows uchun L0phtCrack
yoki Unix uchun Crack.
8.Protokol tekshirgichlari (sniffers). Tarmoq trafigini tinglaydigan dasturlar. Ushbu dasturlardan
foydalanib, foydalanuvchi identifikatori va parollari, kredit karta ma'lumotlari va boshqalar kabi
ma’lumotlarni avtomatik ravishda qidirishingiz mumkin. Masalan, Microsoft Network Monitor,
Network Associates-dan NetXRay yoki LanExplorer.
Internet Security Systems, Inc. yanada mumkin bo'lgan toifalar sonini qisqartirib, ularni 5 taga
yetkazdi.1.Axborot yig’ish.
2.Tasdiqlanmagan kirish urinishlari.
3.Xizmatdan bosh tortish.
4.Shubhali faoliyat.
5.Tizimga hujum.
Dastlabki 4 toifalar masofadan hujumlarga, ikkinchisi esa mahalliy hujumga uchragan tugunga
tegishli. Siz ushbu tasniflashda (passiv) hujumlar (trafikni tinglash , DNS-serverning xatosi , ARP-
serverning buzilishi (va boshqalar) butun sinfini o’z ichiga olmaganini sezishimiz mumkin.
Ko’p hujumlarni aniqlash tizimlarida amalga oshirilgan hujumlarni tasniflash kategoriya bo’lishi
mumkin emas. Masalan, Unix OS uchun amalga oshiriladigan hujum (masalan, statik bufer toshishi)
eng og’ir oqibatlarga olib kelishi mumkin (eng katta ustuvorlik), Windows NT OS uchun u umuman
qo’llanilmasligi yoki juda past darajadagi xavfga ega bo’lishi mumkin. Bundan tashqari, hujumlar va
zaifliklar nomlarida chalkashliklar mavjud. Xuddi shu hujum turli xil hujumlarni aniqlash tizimlarining
turli ishlab chiqaruvchilaridan farq qilishi mumkin
Zaifliklar va hujumlarning eng yaxshi ma’lumotlar bazalaridan biri bu http://xforce.iss.net/ manzilida
joylashgan X-Force ma’lumotlar bazasidir. Unga X-Force Alert bepul tarqatish pochta ro'yxatiga
obuna bo’lish orqali yoki ISS veb-serveridagi ma’lumotlar bazasini interaktiv ravishda qidirish orqali
kirish mumkin.
Ushbu ma’lumotlarga Xulosa qilib aytamanki-
Agar axborot tizimlarining tarkibiy qismlarida zaifliklar bo’lmasa, ko’plab hujumlarni amalga oshirish
mumkin emas va shuning uchun an’anaviy himoya tizimlari mumkin bo’lgan xurujlarni samarali
ravishda yengib o’tishlari mumkin edi. Biroq, dasturlar xato qilishga moyil bo’lgan odamlar
tomonidan yozilgan. Natijada, tajovuzkorlar hujumlarni amalga oshirishda foydalanadigan zaifliklar
paydo bo’ladi. Lekin, bu muammoning faqatgina yarmi. Agar barcha hujumlar birma-bir modelga
qurilgan bo’lsa, u holda mubolag’a bo’lsa ham, xavfsizlik devori va boshqa himoya tizimlari ularga
qarshi turishi mumkin edi. Ammo an’anaviy vositalar endi unchalik samarali bo’lmagan qarshi
hujumlar uyushtirildi. Va keyin sahnada yangi texnologiyalar paydo bo’ladi - hujumlarni aniqlash
texnologiyalari. Hujumlar va ularni amalga oshirish bosqichlari to’g’risidagi ma’lumotlarni
tizimlashtirish hujumlarni aniqlash texnologiyalarini tushunish uchun zarur bo’lgan asosni ta’minlaydi.
II. BOB. Kompyuter hujumlarini aniqlash vositalariHujumlarni aniqlash texnologiyasi quyidagi
vazifalarni hal qilishi kerak:
1.Ma’lum hujumlarni tan olish va tegishli xodimlarni ogohlantirish.
2. Tushunish ko’pincha hujumlar haqida noaniq ma’lumot manbai hisoblanadi.
3. Xavfsizlik xodimlariga korporativ tarmoq tarkibiy qismi bo’lgan foydalanuvchilarni, tizimlarni va
tarmoqlarni boshqarish uchun odatdagi operatsiyalardan xalos bo’lish yoki kamaytirish.
4. Xavfsiz bo’lmagan mutaxassislar tomonidan xavfsizlik xususiyatlarini boshqarish qobiliyati.
5. Korporativ tarmoq sub’ektlarining barcha harakatlarini boshqarish (foydalanuvchilar, dasturlar,
jarayonlar va boshqalar).
Ko’pincha hujumlarni aniqlash tizimlari ularning qo’llanilish doirasini sezilarli darajada
kengaytiradigan funktsiyalarni bajarishi mumkin.
Masalan1.Xavfsizlik devorlarining samaradorligini monitoring qilish. Masalan, xavfsizlik devoridan
so’ng (korporativ tarmoq ichida) hujumlarni aniqlash tizimini o’rnatish XEI tomonidan o’tkazib
yuborilgan hujumlarni aniqlashga va shu bilan xavfsizlik devorida mavjud bo’lmagan qoidalarni
aniqlashga imkon beradi.
2. O’rnatilmagan yangilanishlar yoki eskirgan dasturiy ta’minot bilan xostlarni kuzatish.
3. Ma’lum bir Internet tugunlariga kirishni blokirovka qilish va boshqarish. Hujumlarni aniqlash
tizimlari turli xil URL-lar uchun xavfsizlik devori va kirishni boshqarish tizimlaridan uzoqda bo’lsa-da,
masalan, WEBsweeper, ular ba’zi korporativ tarmoq foydalanuvchilarining ba’zi Internet manbalariga,
masalan pornografik veb-serverlarga kirishini qisman nazorat qilishi va blokirovka qilishi mumkin. Bu
tashkilotda himoya devori va hujumlarni aniqlash tizimini sotib olishga puli bo’lmaganida kerak, va
XEI funktsiyalari hujumlarni aniqlash tizimi, yo’riqnoma va proksi-server o’rtasida taqsimlanadi.
Bundan tashqari, hujumlarni aniqlash tizimlari xodimlarning kalit so’zlar asosida serverlarga kirishini
boshqarishi mumkin. Masalan, jinsiy aloqa, ish, yoriq va boshqalar.
4. Elektron pochtani boshqarish. Hujumlarni aniqlash tizimlari funktsional vazifalariga kirmaydigan
vazifalarni bajarish uchun elektron pochtadan foydalanadigan ishonchsiz ishchilarni boshqarish
uchun ishlatilishi mumkin, masalan rezyumeni yuborish. Ba’zi tizimlar pochta xabarlarida viruslarni
aniqlay olishadi va ular haqiqiy antivirus tizimlaridan uzoq bo’lsa ham, ular bu vazifani juda samarali
bajaradilar.
Axborot xavfsizligi sohasidagi mutaxassislarning vaqtlari va tajribalaridan eng yaxshi foydalanish bu
hujumlarning o’zlarini aniqlashdan ko’ra, hujumlarning sabablarini aniqlash va yo’q qilishdir.
Hujumlarning sabablarini yo’q qilish orqali, ya’ni. Zaifliklarni aniqlagan va yo’q qilgan ma’mur shu
bilan hujumlarning mumkin bo’lgan haqiqatini yo’q qiladi. Aks holda, hujum qayta-qayta takrorlanib,
doimiy ravishda administratorning sa’y-harakatlari va e’tiborini talab qiladi.
Hujumlarni aniqlash tasnifiHujumlarni aniqlash - tizimlarining ko’p sonli tasniflari mavjud, ammo eng
keng tarqalgan tasnif amalga oshirish printsipiga asoslangan:
1.Mezbonga asoslangan, ya’ni ma’lum bir xostga qaratilgan hujumlarni aniqlash,
2.Tarmoqqa asoslangan, ya’ni butun tarmoq yoki tarmoq segmentiga qaratilgan hujumlarni aniqlash.
Alohida kompyuterni boshqaradigan hujumlarni aniqlash tizimlari, qoida tariqasida, operatsion tizim
jurnallaridan va turli xil ilovalardan (veb-server, DBMS va boshqalar) ma’lumotlar to’playdi va
tekshiradi .Ushbu printsip bo’yicha RealSecure OS Sensori ham ishlaydi. So'nggi paytlarda, OT
yadrosi bilan mahkam birlashtirilgan tizimlar tarqalishni boshladi va bu bilan xavfsizlik siyosati
buzilishini aniqlashda yanada samarali usulini ta’minladi. Bundan tashqari, bunday integratsiya ikki
yo’l bilan amalga oshirilishi ham mumkin. Birinchidan, barcha OS tizimidagi qo’ng’iroqlar
boshqarilishi mumkin (Entercept shu tarzda ishlaydi) yoki barcha kiruvchi / chiquvchi tarmoq trafigi
(RealSecure Server Sensor shunday ishlaydi). Ikkinchi holda, hujumni aniqlash tizimi operatsion
tizimni chetlab o’tib, barcha tarmoq trafigini to’g’ridan-to’g’ri tarmoq kartasidan ushlaydi va shu bilan
unga bog’liqlikni kamaytiradi va shu bilan hujumni aniqlash tizimining xavfsizligini oshiradi.
Tarmoq darajasidagi hujumlarni aniqlash tizimlari ma’lumotni tarmoqning o’zida, ya’ni tarmoq
trafikidan to’playdi. Ushbu tizimlar oddiy kompyuterlarda (masalan, RealSecure Network Sensor),
ixtisoslashgan kompyuterlarda (masalan, RealSecure for Nokia yoki Cisco Secure IDS 4210 va 4230)
yoki yo’riqnoma yoki kalitlarga (masalan, CiscoSecure IOS Integrated Software yoki Cisco Catalyst
6000 IDS) ishlay oladi. Modul). Dastlabki ikki holatda, tahlil qilingan ma'lumotlar tarmoqdagi
interfeyslardan foydalangan holda paketlarni ushlash va tahlil qilish yo'li bilan olinadi. Ikkinchi holda,
trafik tarmoq uskunalari avtobusidan ko’chirib olinadi.
Hujumlarni aniqlash ikkita shartdan birini talab qiladi - yoki boshqariladigan tizim ob'ektining
kutilayotgan xatti-harakatlarini tushunish yoki mumkin bo'lgan hujumlar va ularning o'zgarishlarini
bilishdir. Birinchi holda, g'ayritabiiy xatti-harakatlarni aniqlash texnologiyasi, keying holatda zararli
xatti-harakat yoki huquq buzarliklarni aniqlash texnologiyasi qo'llaniladi. Ikkinchi texnologiya hujumni
shablon yoki imzo ko'rinishida tasvirlash va ushbu shablonni boshqariladigan makonda qidirish
(masalan, tarmoq trafigi yoki jurnal).
Ushbu texnologiya viruslarni aniqlashga juda o'xshash (antivirus tizimlari hujumlarni aniqlash
tizimining eng yaxshi namunasidir), ya'ni tizim barcha ma'lum bo'lgan hujumlarni aniqlay oladi,
ammo yangi, hali noma'lum hujumlarni aniqlashga ozgina moslashmagan. Bunday tizimlarda amalga
oshirilgan yondashuv juda sodda va bugungi kunda bozorda taklif qilinadigan deyarli barcha
hujumlarni aniqlash tizimlariga asoslangandir.
Deyarli barcha hujumlarni aniqlash tizimlari imzo yondashuviga asoslangan hisoblanadi.
II.2. Hujumlarni aniqlash tizimlarining afzalliklari.
Siz xost va tarmoq darajasida ishlaydigan hujumlarni aniqlash tizimlarining turli xil afzalliklarini uzoq
ro'yxatga olishingiz mumkin. Ammo, men ulardan ozginasiga to'xtalaman xolos.
Kommutatsiya sizga bir nechta kichik tarmoq segmentlari kabi keng miqyosli tarmoqlarni
boshqarishga imkon beradi. Natijada, tarmoq trafikida hujumlarni aniqlaydigan tizimni o'rnatish
uchun eng yaxshi joyni aniqlash esa qiyindir. Ba'zan kalitlarga o'rnatilgan maxsus portlar (bo'sh
portlar) yordam berishi mumkin, ammo har doim ham emas. Muayyan tugun darajasida hujumlarni
aniqlash kommutatsiyalangan tarmoqlarda samaraliroq ishlashni ta'minlaydi, chunki bu aniqlash
tizimini faqat zarur bo'lgan tugunlarga joylashtirishga imkon beradi.
Tarmoq darajasidagi tizimlar har bir xostga hujumlarni aniqlash tizim dasturini o'rnatishni
o’hshamaydi. IDS o'rnatilgan joylar soni butun tarmoqni boshqarish uchun unchalik katta
bo'lmaganligi sababli, ularni korxona tarmog'ida ishlatish qiymati tizim darajasidagi hujumlarni
aniqlash tizimlarining narxidan ancha past hisobladi. Bunga qo'shimcha ravishda, tarmoq segmentini
boshqarish uchun ushbu segmentdagi tugunlar sonidan qat'i nazar, faqat bitta sensor kerak bo’ladi.
Tarmoq paketi, tajovuzkorning kompyuteridan qutulib, endi qaytarib berilmaydi. Tarmoq darajasida
ishlaydigan tizimlar real vaqtda hujumlarni aniqlash uchun jonli trafikdan foydalanishi aniq. Shundan
kelib chiqib, tajovuzkor o'z ruxsatsiz harakatlarining izlarini yo’qatolmaydi. Tahlil qilingan ma'lumotlar
nafaqat hujum qilish usuli haqida ma'lumotni, balki tajovuzkorni aniqlashda va suddagi dalillarni
aniqlashda ish beradigan ma'lumotlarni barchasini o’z ichiga oladi. Ko'pgina xakerlar tizimni
ro'yxatga olish mexanizmlari bilan juda yaxshi bilganligi sababli, ular huddi shu fayllarni o'zlarining
izlarini yashirish uchun qanday boshqarishni bilishadi, bu hujumni aniqlash uchun ushbu
ma'lumotlarni talab qiladigan tizim darajasidagi tizimlarning samaradorligini juda pastlatib yuboradi.
Tarmoq darajasidagi tizimlar shubhali voqealar va hujumlarni ular sodir bo'lganda aniqlaydilar va
shuning uchun jurnallarni tahlil qiladigan tizimlarga qaraganda ular tezroq xabar va javob beradilar.
Masalan, TCP protokoli asosida xizmat ko'rsatish tarmog'iga hujum qilishni rad etishni boshlaydigan
xaker tarmoqning hujumini aniqlash tizimi tomonidan sezib uni to'xtatilishi mumkin, u TCP paketini
sarlavha ichiga o'rnatilgan Reset bayrog'i bilan hujum qiluvchi xost bilan aloqani to'xtatish uchun
hujumni yo'q qiladi. Kundaliklarni tahlil qilish tizimlari hujumlarni jurnalga yozilmaguncha
tanimaydilar va yozuv amalga oshirilgandan keyin chora ko'radilar. Ushbu nuqtada, eng muhim
tizimlar yoki manbalar allaqachon buzilgan bo'lishi mumkin yoki tugun darajasidagi hujumlarni
aniqlash tizimini ishga tushiradigan tizimning funktsiyalari buzilgan bo'lishi ham mumkin bo’ladi.
Haqiqiy vaqtda xabar berish oldindan belgilab qo’yilgan sozlamalargazudlik bilan javob berishga
imkon yaradi. Ushbu reaktsiyalar oralig'i hujum va tajovuzkor haqida ma'lumot to'plash, hujumni
darhol bajarish uchun kuzatuv rejimiga kirishga ruxsat berishha qaraganda ancha ohshamaydi. Va
nihoyat, tarmoq darajasida ishlaydigan hujumlarni aniqlash tizimlari korporativ tarmoqqa o'rnatilgan
operatsion tizimlarga bog'liqligi yo’q, chunki ular tarmoq trafiklarida korporativ tarmoqdagi barcha
almashinuvlar bilan almashib turadilar. Hujumlarni aniqlash tizimi, agar u aniqlash tizimi tomonidan
qo'llab-quvvatlanadigan standartlarga mos bo'lsa, u yoki bu paketni qaysi OS yaratganiga e’tibor
bermaydi. Masalan, tarmoq Windows 98, Windows NT, Windows 2000 va XP, Netware, Linux, MacOS,
Solaris va boshqalarni boshqarishi mumkin, ammo agar ular bir-biri bilan IP orqali aloqa qilsalar,
unda ushbu hujumni aniqlash tizimlarining har biri protokol ushbu OTlarga qaratilgan hujumlarni
aniqlay oladi.
Tarmoq va xost darajasida hujumlarni aniqlash tizimlaridan birgalikda foydalanish tarmog'ingiz
xavfsizligini oshiradi.
Tarmoq hujumlarini aniqlash tizimlari va xavfsizlik devorlari.
Ko'pincha, tarmoqqa asoslangan hujumlarni aniqlash tizimlari xavfsizlik devori o'rnini bosishga
harakat qiladilar, chunki ular yuqori darajadagi xavfsizlikni ta'minlaydi. Shuni ham unutmangki,
xavfsizlik devori shunchaki ular orqali trafikni o'tkazishga ruxsat beradigan yoki taqiqlaydigan
qoidalarga asoslangan tizimlardir. Texnologiyasidan foydalangan holda qurilgan xavfsizlik devorlari
ham, ular boshqarayotgan trafikda hujum bor yoki yo'qligini aniq aytishimizga imkon bermaydi. Ular
transport qoidasiga mos keladimi yoki yo'qmi, bilib olishlari mumkin. Masalan, ITU 80-portdagi TCP
ulanishlaridan tashqari barcha ulanishlarni blokirovka qilish uchun konfiguratsiya qilingan (ya'ni
HTTP trafigi). Shunday qilib, 80 port orqali har qanday transport XEI nuqtai nazaridan qonuniydir.
Boshqa tomondan, hujumni aniqlash tizimi trafikni ham nazorat qiladi, ammo unda hujum belgilarini
qidiradi. U qaysi port trafigi uchun ahamiyatsiz. Odatiy bo'lib, hujumni aniqlash tizimi uchun barcha
trafik shubhali. Ya'ni, hujumlarni aniqlash tizimi XEI bilan bir xil ma'lumot manbai bilan, ya'ni tarmoq
trafigi bilan ishlashiga qaramay, ular qo'shimcha funktsiyalarni bajaradilar. Masalan, HTTP so'rovi
(Get /../../../etc/passwd HTTP / 1.0). Deyarli har qanday XEI ushbu so'rovni o'zi orqali o'tishga imkon
beradi. Biroq, hujumni aniqlash tizimi ushbu hujumni osonlikcha aniqlaydi va uni bloklaydi.
Quyidagi o'xshashlikni chizish mumkin. Xavfsizlik devori sizning tarmog'ingizning asosiy kirish
qismida o'rnatilgan muntazam turniket. Ammo asosiy eshiklardan tashqari, derazalar bilan bir
qatorda boshqa eshiklar ham mavjud. Haqiqiy ishchi sifatida yashiringan yoki turniketda qo'riqchi
ishonchiga ega bo'lgan holda, tajovuzkor portlovchi moslama yoki qurolni turniket orqali olib yurishi
mumkin. Nafaqat bu. Hujumchi sizga deraza orqali kirishga qodir. Shuning uchun zarur bo'lgan,
ammo aniq tarmoq xavfsizligi elementi bo'lgan xavfsizlik devori tomonidan himoyani
kuchaytiradigan hujumlarni aniqlash tizimlari kerak.
Xavfsizlik devori panatseya emas!
Aniqlangan hujum uchun reaktsiya variantlaridir.
Hujumni aniqlashning o'zi yetarli bo’lmaydi- bunga javoban javob berish kerak. Bu asosan hujumlarni
aniqlash tizimining samaradorligini aniqlaydigan javob variantlari hisoblanadi. Bugungi kunda
quyidagi javob variantlari taklif etilishda davom etyapti:1. Hujumlarni aniqlash tizimining konsoliga
(shu jumladan zaxira nusxasiga) yoki o'rnatilgan tizimning konsoliga (masalan, xavfsizlik devori)
xabar beriladi.
2.Hujum haqida ovozli xabar.
3. Tarmoqlarni boshqarish tizimlari uchun SNMP boshqaruv ketma-ketligini yaratish.
4.Elektron pochta hujumi xabari avlodlari.
5. Peyjer yoki faks orqali qo'shimcha bildirishnomalari. Juda qiziqarli, kamdan kam ishlatilgan bo'lsa-
da, imkoniyat. Tasdiqlanmagan faoliyatni aniqlash to'g'risida xabar ma'murga emas, balki
tajovuzkorga yuboriladi. Ushbu javob variantining tarafdorlariga ko'ra, huquqbuzar uning
topilganligini bilib, o'z harakatlarini to'xtatishga majbur bo'ladi.
6. Aniqlangan hodisalarni majburiy ravishda ro'yxatdan o'tkazadi. Ro'yxatdan o'tish jurnali bo'lishi
mumkin.
-matnli fayl
-Syslog (masalan, Cisco Secure o'rnatilgan dasturiy ta'minotida)
-maxsus formatdagi matnli fayl (masalan, Snort tizimida),
-mahalliy MS Access ma'lumotlar bazasi,
-SQL ma'lumotlar bazasi (masalan, RealSecure tizimida).
Ro'yxatga olingan ma'lumotlarning hajmi, odatda, SQL ma'lumotlar bazasi - MS SQL yoki Oracle talab
qilinishini hisobga olish kerak.
1.Voqealar izi ularni ketma-ketlikda va tajovuzkor ularni amalga oshirgan tezlikda qayd etadi. Keyin
ma'mur istalgan vaqtda tajovuzkorning faoliyatini tahlil qilish uchun kerakli tezlikni (real vaqtda,
tezlashishi yoki sekinlashuvi bilan) aylantirishi (takrorlash yoki o'ynatish) mumkin bo’ladi. Bu uning
malakasini, ishlatilgan hujum vositalarini va boshqalarni tushunishga yordam beradi.
2.Hujum qiluvchining harakatlariga xalaqit berish bu ulanishni tugatishdir. Buni quyidagicha bajarish
mumkin.
-seansni ushlab qolish (seansni o’g’irash) va RST bayrog'i o'rnatilgan paketni ikkala tarmoq ulanishi
qatnashchilariga ularning har biri nomidan yuborish (tarmoq darajasida ishlaydigan hujumlarni
aniqlash tizimida);
-hujumni amalga oshiradigan foydalanuvchining hisobini blokirovka qilish (tugun darajasidagi
hujumni aniqlash tizimida). Bunday blokirovka ma'lum bir vaqt oralig'ida yoki ma'mur tomonidan
hisob ochilgunicha amalga oshirilishi mumkin. Hujjatlarni aniqlash tizimi ishga tushirilgan
imtiyozlarga qarab, blokirovka hujum qilinadigan kompyuterda ham, butun tarmoq domenida ham
amalga oshirilishi mumkin.
3. Tarmoq uskunalarini yoki xavfsizlik devorlarini qayta sozlash. Agar hujum marshrutizatorda yoki
xavfsizlik devorida aniqlangan bo'lsa, kirishni boshqarish ro'yxatini o'zgartirish buyrug'i yuborilgan
bo’ladi. Keyinchalik, hujum qiladigan tugunga ulanish uchun qilingan barcha urinishlar rad etiladi.
Shafqatsizlar hisobini blokirovka qilish singari, kirishni boshqarish ro'yxatini o'zgartirish vaqtinchalik
oralig'ida yoki qayta tiklanadigan tarmoq uskunalari ma'muri tomonidan bekor qilinmaguncha
amalga oshirilishi mumkin.
4. Bu xavfsizlik devorlaridagi kabi tarmoq trafigini blokirovka qilmoqda. Ushbu parametr sizga
shaxsiy xavfsizlik devorlaridagi funktsiyalarni bajarishga imkon beradigan trafikni, shuningdek
himoyalangan kompyuterning manbalariga kirish huquqini ham cheklaydi.
Axborot xavfsizligiga tahdidlarni kamaytiradigan hujumlarni aniqlash uchun bir nechta vositalar va
odatiy yondashuvlar mavjuddir.
Bir xavfsizlik devori himoya qilish uchun yetarli bo’lgan vaqtlarda o’tdi. Bugungi kunda korxonalar
kompaniyani mumkin bo’lgan tahdid va xatarlardan cheklash uchun kuchli va ulkan tarkibiy himoya
tizimlarini joriy etishmoqda. Xizmat ko'rsatishni rad etish (DDoS) kabi hujumlar paydo bo’lishi bilan,
paketlarning jo’natuvchi manzili sizga hujum sizga yoki tasodifiy yo’naltirilganiga aniq javob bera
olmaydi. Hodisaga qanday munosabatda bo’lishni, shuningdek tajovuzkorni qanday aniqlashni
bilishimizgiz kerak (1-rasm).
Biz tajovuzkorni harakatlar uchun quyidagi xususiyatlar bilan aniqlashimiz mumkin:
1.Aniq ponksiyonni amalga oshiradi
2.Tarmoqqa bir necha bor urinishlarni amalga oshiradi
3.Izlarimni yashirishga harakat qilaman
4.Turli vaqtlarda hujumlarni amalga oshiradi
Chizma - 1
Shuningdek, siz tajovuzkorlarni tasodifiy va tajribalilarga ajratishingiz ham mumkin. Serverga kirish
uchun muvaffaqiyatsiz urinish bo’lgan birinchilari boshqa serverga olib o'tadilar. Ikkinchisi quyidagi
hujumlarni amalga oshirish uchun manba haqida tahlillarni o'tkazadilar. Masalan, ma’mur IDS
jurnalida kimdir sizning pochta serveringiz portlarini tekshirayotganini ko’rib chiqadi, keyin esa o’sha
IP-manzildan SMTP buyruqlari 25 portga keladi. Hujumkorning fe’l-atvori, niyati va hokazolari haqida
ko’p ma’lumot aytadi. 2-rasmda samarali hujumlarni aniqlash algoritmi ko’rsatilgan. Barcha
hujumlarni aniqlash xizmatlari dastlabki algoritmlardan foydalanadilar:
1.Suv iste’mollikni aniqlash
2.Anomaliyalarni aniqlash
Chizma - 2
Aniqlash tizimlarini yaxshi sozlash uchun siz quyidagilar bilan tarmoq sxemasini tuzishingiz kerak.
1.Segment chegaralari
2.Tarmoq segmentlari
3.Ishonch va ob'ektlarsiz ob'ektlar
4.ACL - Kirishni boshqarish ro'yxatlari
5.Xizmatlar va serverlar
Tez-tez uchraydigan xato - bu sizning tarmog’ingizni tahlil qilganda tajovuzkor nimanidir qidirishi.
Hujumlarni aniqlash tizimi trafik tahlilini qo’llaganligi sababli, ishlab chiqaruvchilar barcha paketlarni
ishlashiga zarar bermasdan ushlash uchun umumiy portdan foydalanish mumkin emasligini tan
olishadi. Shunday qilib, aniqlash tizimlarining samarali konfiguratsiyasi juda muhim vazifa
hisoblanadi.
Hujumni aniqlash vositalariHujumlarni aniqlash texnologiyasi quyidagilar bilan kurashishi kerak:
1. Ommaviy hujumlarni tan olish va ular haqida ba’zi odamlarni ogohlantirish;
2.Hujum ma’lumotlarining noaniq manbalarini tushunish;
3.Xavfsiz bo’lmagan mutaxassislar tomonidan xavfsizlik usullarini boshqarish qobiliyati;
4. Axborot tarmog’i sub’ektlarining barcha harakatlarini boshqarish (dasturlar, foydalanuvchilar va
boshqalar);
5.Xavfsizlik, muntazam kuzatuv operatsiyalari uchun mas’ul bo’lgan xodimlarning vazifalarini
bo’shatish yoki kamaytirish;
Ko’pincha hujumlarni aniqlash tizimlari ularning qo’llanilish doirasini kengaytiradigan funktsiyalarni
amalga oshirishi mumkin. Masalan:
1.Xavfsizlik devorlarining samaradorligini monitoring qilish. Xavfsizlik devorida yo'qolgan qoidalarni
aniqlash uchun siz xavfsizlik tizimini xavfsizlik devoridan keyin o'rnatishingiz mumkin;
2. Eskirgan dasturiy ta'minot bilan xostni boshqarish;
3.Ba'zi Internet manbalariga kirishni blokirovka qilish va boshqarish. Garchi ular xavfsizlik devori kabi
imkoniyatlardan uzoqda bo’lsa-da, ammo xavfsizlik devori sotib olishga pul bo’lmasa, siz hujumlarni
aniqlash tizimining funktsiyalarini kengaytirishingiz mumkin;
4. Elektron pochtani boshqarish. Tizimlar elektron pochtalardagi viruslarni kuzatishi, shuningdek,
kiruvchi va chiquvchi elektron pochta xabarlarining tarkibini tahlil qilishi mumkin;
Axborot xavfsizligi sohasidagi mutaxassislarning tajribasi va vaqtlarini eng yaxshi tatbiq qilish bu
hujumlarni o’zlarini aniqlashdan ko’ra, hujumlarning sabablarini aniqlash va yo’q qilish hisoblanadi.
Hujum bo’lishi mumkin bo’lgan sababni yo’q qilgandan so’ng, ko’pchilik vaqtinchalik resurs va
moliyaviy manbani tejashga yordam beradi.
Hujumlarni aniqlash tasnifi
Hujumlarni aniqlash tizimlarining ko'p tasnifi mavjud, ammo eng yuqori tasnifi amalga oshirish
printsipiga asoslanishi:
1.Xostga asoslangan - tizim ma’lum bir xostga qaratilgan
2.Tarmoqqa asoslangan - tizim butun tarmoq yoki tarmoq segmentiga yo’naltirilgan
Muayyan kompyuterlarga o’rnatilgan hujumlarni aniqlash tizimlari odatda OS va dastur jurnallaridan
ma’lumotlarni tahlil qiladi. Ammo yaqinda, OT yadrosi bilan chambarchas bog’liq bo’lgan dasturlar
chiqarildi.
Hujumlarni aniqlash tizimlarining afzalliklari
Kommutatsiya sizga bir nechta kichik tarmoq segmentlari kabi katta tarmoqlarni boshqarishga
imkon beradi. Muayyan tugun darajasida hujumlarni aniqlash kommutatsiyalangan tarmoqlarda
samaraliroq ishlashga imkon beradi, chunki bu sizga kerakli tugunlarga aniqlash tizimlarini
o'rnatishga ham imkon beradi.
Tarmoq darajasidagi tizimlar xostga hujumlarni aniqlash tizim dasturini o’rnatishi shart emas.
Tarmoq segmentini boshqarish uchun ushbu segmentdagi tugunlar sonidan qat’i nazar sizga bitta
datchik kerak bo’ladi.
Tajovuzkor yuborgan paketlar qaytarib berilmaydi. Tarmoq darajasida ishlaydigan tizimlar jonli trafik
bilan hujumlarni aniqlashni amalga oshiradilar, ya’ni haqiqiy vaqtda. Tahlil qilingan ma’lumotlar
sudda isbot bo’lishi mumkin bo’lgan ma'lumotlarni o’z ichiga olad
Tarmoq darajasida ishlaydigan aniqlash tizimlari OTdan mustaqil. Bunday tizimlar uchun qaysi OS
paketni yaratganligi muhim emas.
Taqqoslash texnologiyasi
Printsip shundaki, u paketdagi ma’lum bir doimiy baytlar - shablon yoki imzoning mavjudligini tahlil
qiladi. Masalan, agar paket IPv4 va transport TCP bo’lsa, u 222 port uchun mo’ljallangan va
ma’lumotlar maydonida foo satrini o’z ichiga olgan bo’lsada, bu hujum deb hisoblanishi ham mumkin.
Ijobiy tomonlari:
Hujumni aniqlashning eng oson mexanizmi;
Namunani hujumkor to’plam bilan qat’iy ravishda moslashtirishga imkon beradi;
barcha protokollar uchun ishlaydi;
Namuna to’g’ri aniqlangan bo’lsa, hujum signallari ishonchli.
Salbiy tomonlari:
Agar hujum nostandart bo’lsa, uni o’tkazib yuborish imkoniyati mavjud;
Agar namuna juda umumlashtirilgan bo'lsa, soxta ijobiy pozitsiyalarning katta qismi ehtimol;
Bitta hujum uchun bir nechta namunalarni yaratish kerak bo'lishi mumkin;
Mexanizm bitta paketni tahlil qilish bilan cheklangan, hujumning tendentsiyasi va rivojlanishini
ushlash mumkin emas.
Mos keladigan davlat texnologiyasiHujum mohiyatiga ko’ra bitta paket emas, balki paketli oqim
bo’lgani uchun bu usul ma’lumotlar oqimi bilan ishlaydi. Hukm chiqarilishidan oldin har bir
ulanishdan bir nechta paket tekshiriladi.
Oldingi mexanizm bilan taqqoslaganda, foo simli ikkita paketda bo’lishi mumkin. Ikkala usulning
natijasi, menimcha, tushunarli.
Ijobiy tomonlari:
Bu usul oldingi usuldan biroz murakkabroq;
Namuna haqiqiy bo’lsa, hujum haqidagi xabar to’g’ri;
Namunani hujum bilan kuchli bog’lash imkonini beradi;
Barcha protokollar uchun ishlaydi;
Hujumni to’xtatish oldingi usulga qaraganda ancha murakkab.
Salbiy tomonlari:
Barcha salbiy belgilar oldingi usulda bo’lgani kabi bir xil.
Protokolni shifrlash tahlili
Ushbu usul individual protokollarga qilingan hujumlarni tekshirishni amalga oshiradi. Mexanizm
protokolni belgilaydi va tegishli qoidalarni qo’llaydi. Ijobiy tomonlari:
Agar protokol aniq belgilangan bo’lsa, unda yolg’on pozitiv ehtimolligi kamayadi;
Namunani hujum bilan mahkam bog’lash imkonini beradi;
Protokollar bilan ishlash qoidalarini buzish holatlarini aniqlashga imkon beradi;
Sizga hujum qilishning turli xil variantlarini topishga imkon beradi.
Salbiy tomonlari:
Mexanizmni sozlash murakkab;
Agar protokol standartida tafovutlar mavjud bo'lsa, yolg’on pozitivlarning yuqori foizi ehtimoldan
yiroq.
Statik tahlilUshbu usul hujumlarni aniqlash uchun mantiqni amalga oshirishni o'z ichiga oladi.
Trafikni tahlil qilish uchun statistik ma’lumotlar ishlatiladi. Portlash tekshiruvini aniqlash bunday
hujumlarni aniqlashga misol bo’lishi mumkin. Mexanizm bitta xostda bajarilishi mumkin bo’lgan
portlar uchun cheklangan qiymatlarni beradi. Bunday vaziyatda, yagona qonuniy aloqalar hujumga
sabab bo’ladi. Ijobiy tomonlari:
Faqatgina ushbu mexanizm yordamida aniqlanishi mumkin bo’lgan hujumlar turlari mavjud.
Salbiy tomonlari:
Bunday algoritmlar murakkab sozlashni talab qiladi.
Anomaliya asosidagi tahlilUshbu mexanizm hujumlarni aniq aniqlash uchun emas, balki odatdagidan
farq qiladigan shubhali faoliyatni aniqlash uchun foydalanilmaydi. Bunday mexanizmni o'rnatishda
asosiy muammo normal faoliyat mezonlarini aniqlashdir. Oddiy tirbandlikning tolerantligini ham
hisobga olishingiz kerak, bu hujum emas. Ijobiy tomonlari:
To’g’ri tuzilgan analizator hatto noma’lum hujumlarni aniqlaydi, ammo yangi qoidalar va hujum
imzolarini kiritish uchun qo'shimcha ish talab etiladi.
Salbiy tomonlari:
Mexanizm har bir element uchun hujumning tavsifini ko’rsatmaydi, ammo vaziyat haqida uning
shubhasi haqida xabar beradi.
Xulosa chiqarish uchun foydali ma’lumotlar etarli emas. Tarmoq ko’pincha befoyda.
Hal qiluvchi omil - bu ishlaydigan muhit.
Aniqlangan hujumlarga reaktsiyalar variantlariHujumni aniqlash uchun bu yarim jang, va siz ham
muayyan harakatlar qilishingiz kerak. Bu hujumlarni aniqlash tizimining samaradorligini belgilaydigan
javob variantlaridir. Quyida javob variantlari keltirilgan:
Konsolga yoki tizimning boshqa xavfsizlik elementiga xabar berish (xavfsizlik devorida)
Ovoz hujumi haqida ogohlantirish
Tarmoqlarni boshqarish tizimlari uchun SNMP boshqaruv ketma-ketligini yaratish
Bunday kutilmagan burilishda tajovuzkor tomonidan hujum haqida ogohlantirish, ehtimol u hujumni
to'xtatadi
Aniqlangan hodisalarni ro'yxatdan o'tkazish. Jurnal quyidagi bo'lishi mumkin:
Syslog
Oddiy matnli fayl / snort
Malumotlar bazasi
Hodisalarni kuzatib borish, barcha harakatlarni ketma-ketlikda va tajovuzkor tomonidan amalga
oshirilgan tezlikda qayd etish. Keyin malakali shaxs ushbu voqealarni ko'rib chiqishi va
tajovuzkorning o'ziga xos xususiyatlarini va xususiyatlarini tushunishi mumkin
Tarmoq uskunalarini qayta sozlash. Signal yo'riqnoma yoki xavfsizlik devorida keladi, u erda kirishni
boshqarish ro'yxati o'zgaradi.
Tarmoq trafigini blokirovka qilmoqda
Tajovuzkorning hodisalarini to'xtatish:
Hujum qilgan foydalanuvchining hisobini bloklash
Ulanishni to’xtatish va RST bayrog’i bilan paketni yuborish
Quyida hujumlarni aniqlash mexanizmlarini amalga oshirish mumkin bo'lgan elementlar keltirilgan:
Kommutatsiya kanallari va paketlari.
Tarmoq adapteri.
Simli aloqa va tarmoqli kengligi xususiyatlari va tarmoqli kengligi.
Yo'ldosh tizimlari
Seti_PDH, seti_dwdm, belgi uzuk, chekilgan.
Xatolarni aniqlash usuli.
Format_kadra_ethernet.
Funkcii_koncentratorov.
Tarmoq xavfsizligini ta’minlash muammolari va tarmoq hujumlarga qarshi samarali himoya
yechimlariMamlakatimiz siyosatining ustuvor yo‘nalishlariga kiritilgan kompyuter va axborot
texnologiyalari, telekomunikatsiya, ma’lumotlarni uzatish tarmoqlari.
Internet xizmatlaridan foydalanish rivojlanmoqda va modernizatsiyalashmoqda. Jamiyatimizning
barcha sohalariga kundalik hayotimizga zamonaviy axborot texnologiyalarini keng joriy etish
kelajakdagi maqsadlarimizga erishishni ta’minlaydi. Har bir soha faoliyatida Internet tarmog‘idan
foydalanish ish unumdorligini oshirishda yordam bermoqda.
Aynan tarmoqdan foydalangan holda tezkor ma’lumot almashish vaqtdan yutish imkonini ham
beradi. SHu jumladan ,O’zbekistonda Elektron hukumat tizimi shakllantirilishi va uning zamirida
davlat boshqaruv organlari hamda aholi o‘rtasidagi o‘zaro aloqaning mustahkamlanishini tashkil
etish tarmoqdan foydalanib amalga oshiriladi. Tarmoqdan samarali foydalanish demokratik
axborotlashgan jamiyatni shakllantirishni ta’minlaydi. Bunday jamiyatda, axborot almashinuv tezligi
ko’tariladi, axborotlarni yig‘ish, saqlash, qayta ishlash va ulardan foydalanish bo‘yicha tezkor
yutuqlarga ega bo’lamiz.
Biroq tarmoqqa noqonuniy kirish, axborotlardan foydalanish va o‘zgartirish, yo‘qotish kabi
muammolardan himoya qilish dolzarb muammoligicha qoladi. Ish faoliyatini tarmoq bilan bog‘lagan
korxona, tashkilotlar hamda davlat idoralari ma’lumot almashish uchun tarmoqqa bog‘lanishidan
oldin tarmoq xavfsizligiga jiddiy e’tibor qaratishi kerakligini qayta -qayta takidlab kelinadi. Tarmoq
xavfsizligi uzatilayotgan, saqlanayotgan va qayta ishlanayotgan axborotni ishonchli tizimli tarzda
ta’minlash maqsadida turli vositalar va usullarni qo’lab, choralarni ko‘rib va tadbirlarni amalga
oshirisb boriladi. Tarmoq xavsizligini ta’minlash maqsadida qo‘llanilgan vosita xavf-xatarni tezda
aniqlashi va unga nisbatanzudlik bilan o’z chota-tadbir ko’rishi zarur. Tarmoq xavfsizligiga
tahdidlarning ko‘p turlari bo’lib, lekin ular sanoqlik toifalarga bo‘linadi:
axborotni uzatish jarayonida hujum qilish orqali, eshitish va o‘zgartirish (Eavesdropping);
xizmat ko‘rsatishdan voz kechish; (Denial-of-service)
portlarni tekshirish (Port scanning).
Axborotni uzatish jarayonida, eshitish va o‘zgartirish hujumi bilan telefon aloqa liniyalari, internet
orqali tezkor xabar almashish, videokonferensiya va faks jo‘natmalari orqali amalga oshiriladigan
axborot almashinuvida foydalanuvchilarga sezdirmagan holatda axborotlarni tinglash, o‘zgartirish
hamda to‘sib qo‘yishham ularni qo’lidan keladi. Bir qancha tarmoqni tahlillovchi protokollar orqali bu
hujumni amalga oshirish juda oson. Hujumni amalga oshiruvchi dasturiy ta’minotlar orqali CODEC
(video yoki ovozli analog signalni raqamli signalga aylantirib berish va aksincha) standartidagi
raqamli tovushni osonlik bilan yuqori sifatli, ammo katta hajmni egallaydigan ovozli fayllar (WAV)ga
aylantirib berishadi. Odatda bu hujumning amalga oshirilayotganda foydalanuvchi sezmaydi. Tizim
ortiqcha o’zgarishlarsiz belgilangan amallarni bajarishda davom etadi. Axborotning o‘g‘irlanishi
foydalanuvchiga mutlaqo shubha tug‘ilmaydi. Faqatgina oldindan ushbu tahdid haqida ma’lumotga
ega bo‘lgan va yuborilayotgan axborotning o‘z qiymatini saqlab qolishini xohlovchilar maxsus
tarmoq xafvsizlik choralarini qo‘llash natijasida himoyalangan tarmoq orqali ma’lumotni almashtirish
imkoniyatiga ega hisoblanadi. Tarmoq orqali ma’lumot almashish mobaynida yuborilayotgan
axborotni eshitish va o‘zgartirishga qarshi bir necha samarali natija beruvchi texnologiyalar bor bular
quyidagilardir:
IPSec (Internet protocol security) protokoli;
VPN (Virtual Private Network) virtual xususiy tarmoq;
IDS (Intrusion Detection System) ruxsatsiz kirishlarni aniqlash tizimi.
Ipsec (Internet protocol security) bu xavfsizlik protokollari hamda shifrlash algoritmlaridan
foydalangan holda tarmoq orqali ma’lumot almashish xavfsizdir. Bu maxsus standart orqali
tarmoqdagi kompyuterlarning o‘zaro aloqasida dastur va ma’lumotlar hamda qurilmaviy vositalar bir-
biriga to’g’ri kelishini ta’minlab beradi. Ipsec protokoli tarmoq orqali uzatilayotgan axborotning
sirliligini, ya’ni faqatgina yuboruvchi va qabul qiluvchiga tushunarli bo‘lishini, axborotning sofligini
hamda paketlarni autentifikatsiyalashni amalga oshirib boradi. Zamonaviy axborot texnologiyalarni
qo‘llash har bir tashkilotning rivojlanishi uchun zaruriy vosita hisoblanadi, Ipsec protokoli esa
quyidagilar uchun samarali himoyani ta’minlaydi:
bosh ofis va filiallarni global tarmoq bilan bog‘laganda;
uzoq masofadan turib, korxonani internet orqali boshqarishda;
homiylar bilan bog‘langan tarmoqni himoyalashda;
elektron tijoratning xavfsizlik darajasini yuksaltirishda.
VPN (Virtual Private Network) virtual xususiy tarmoq sifatida ta’riflanadi. Bu texnologiya
foydalanuvchilar o‘rtasida barcha ma’lumotlarni almashish boshqa tarmoq doirasida ichki tarmoqni
shakllantirishga asoslangan, ishonchli himoyani ta’minlashga yo’naltirilgan. VPN uchun tarmoq asosi
sifatida Internetdan foydalaniladi.VPN texnologiyasining afzalligi shundaki. Lokal tarmoqlarni
umumiy VPN tarmog‘iga birlashtirish orqali kam xarajatli va yuqori darajali himoyalangan tunelni
qurish mumkin bo’ladi. Bunday tarmoqni yaratish uchun sizga har bir tarmoq qismining bitta
kompyuteriga filiallar o‘rtasida ma’lumot almashishiga xizmat qiluvchi maxsus VPN shlyuz o‘rnatish
talab qilinadi. Har bir bo‘limda axborot almashishi oddiy usulda amalga oshirililishi mumkin. Agar
VPN tarmog‘ining boshqa qismiga ma’lumot jo‘natish kerak bo‘lsa, bu holda barcha ma’lumotlar
shlyuzga yuboriladi. Shundan keyin, shlyuz ma’lumotlarni qaytaishlaydi, ishonchli algoritm asosida
shifrlaydi va Internet tarmog‘i orqali boshqa filialdagi shlyuzga yuboradi. Belgilangan nuqtada
ma’lumotlar qayta deshifrlanadi va oxirgi kompyuterga oddiy usulda jo’natiladi. Bularning barchasi
foydalanuvchi uchun umuman sezilmas darajada amalga oshadi hamda lokal tarmoqda ishlashdan
hech qanday farq bo’lmaydi. Eavesdropping hujumidan foydalanib, tinglangan axborot tushunarsiz
bo‘lib eshitiladi.
Bundan tashqari, VPN alohida kompyuterni tashkilotning lokal tarmog‘iga qo‘shishning ajoyib usuli
sanaladi. Misol uchun, xizmat safariga noutbukingiz bilan chiqqansiz, o‘z tarmog‘ingizga ulanish yoki
u yerdan biror-bir ma’lumotni olish zaruriyati tug’ildi. Maxsus dastur yordamida VPN shlyuz bilan
bog‘lanishingiz mumkin va ofisda joylashgan har bir ishchi kabi faoliyat olib borishigiz mumkin
bo’ladi. Bu cho’ntak uchun ham ishingiz tez bajarilishi uchun ham osondir.
VPN ishlash tamoyili quyidagicha bo’lib. VPN tarmog‘ini tashkil etish uchun yangi qurilmalar va
dasturiy ta’minotdan tashqari ikkita asosiy qismga ham ega bo‘lish lozim: ma’lumot uzatish protokoli
va uning himoyasi bo‘yicha vositalardir.
Ruxsatsiz kirishni aniqlash tizimi bu (IDS) yordamida tizim yoki tarmoq xavfsizlik siyosatini buzib
kirishga harakat qilingan usul yoki vositalarni tezda aniqlaydi. Ruxsatsiz kirishlarni aniqlash tizimlari
deyarli chorak asrlik tarixga ega hisoblanadi. Ruxsatsiz kirishlarni aniqlash tizimlarining ilk modellari
va prototiplari kompyuter tizimlarining audit ma’lumotlarini tahlillashdan foydalanganligini
eshitganmisiz?ha huddi shunday bo’lgan. Bu tizim ikkita asosiy sinfga ajratiladi.
1.Tarmoqqa ruxsatsiz kirishni aniqlash tizimi (Network Intrusion Detection System) 2.kompyuterga
ruxsatsiz kirishni aniqlash tizimiga (Host Intrusion Detection System) bo‘linadi.
IDS tizimlari arxitekturasi tarkibiga quyidagicha:
himoyalangan tizimlar xavfsizligi bilan bog‘liq holatlarni yig‘ib tahlillovchi sensor qism tizimi;
sensorlar ma’lumotlariga ko‘ra shubhali harakatlar va hujumlarni aniqlashga mo‘ljallangan
tahlillovchi qism tizimi;
tahlil natijalari va dastlabki holatlar haqidagi ma’lumotlarni yig‘ishni ta’minlaydigan omborxona;
IDS tizimini konfiguratsiyalashga imkon beruvchi, IDS va himoyalangan tizim holatini kuzatuvchi,
tahlil qism tizimlari aniqlagan mojarolarni kuzatuvchi boshqaruv konsoli.
Bu tizim ikkita asosga ajratilgan. 1.Tarmoqqa ruxsatsiz kirishni aniqlash tizimi (Network Intrusion
Detection System) 2.Kompyuterga ruxsatsiz kirishni aniqlash tizimiga (Host Intrusion Detection
System) .
Tarmoqqa ruxsatsiz kirishni aniqlash tizimi (NIDS) ishlash tamoyili quyidagicha:
1. tarmoqqa kirish huquqiga ega bo‘lgan trafiklarni tekshiradi;
2. zararli va ruxsatga ega bo‘lmagan paketlarga cheklov qo‘yadi.Sanab o‘tilgan xavfsizlik
bosqichlarini qo‘llagan holda Eavesdropping tahdidiga qarshi samarali tarzda himoyalanish mumkin.
DOS (Denial-of-service) tarmoq hujumning bu turi xizmat qilishdan voz kechish hujumi deb
nomlanadi. Bunda hujum qiluvchi legal foydalanuvchilarning tizim yoki xizmatdan foydalanishiga
to‘sqinlik qilishga urinadi. Tez-tez bu hujumlar infratuzilma resurslarini xizmatga ruxsat so‘rovlari
bilan to‘lib ketgani uchun amalga oshiriladi. Bunday hujumlar alohida xostga yo‘naltirilgani kabi butun
tarmoqqa ham yo‘naltirilishi mumkindir. Hujumni amalga oshirishdan oldin obyekt to‘liq o‘rganadi,
ya’ni tarmoq hujumlariga qarshi qo‘llanilgan himoya vositalarining zaifligi yoki kamchliklari, qanday
operatsion tizim o‘rnatilgan va obyekt ish faoliyatining eng yuqori bo‘lgan vaqtini qarab chiqadi.
Quyidagilarni aniqlab va tekshirish natijalariga asoslanib, maxsus dastur yaratiladi. Keyingi
bosqichda esa yaratilgan dastur katta mavqega ega bo‘lgan serverlarga jo’natiladi. Serverlar o‘z
bazasidagi ro‘yxatdan o‘tgan foydalanuvchilargajo’natadi. Dasturni qabul qilgan foydalanuvchi
ishonchli server tomonidan yuborilganligini tahmin qilib yoki qilmay dasturni o‘rnatishni boshlaydi.
Huddi shu holat minglab hattoki, millionlab kompyuterlarda yuzaga kelishi mumkin. Dastur
belgilangan vaqtda barcha kompyuterlarda faollashadi va to‘xtovsiz ravishda hujum qilinishi
mo‘ljallangan obyektlariga so‘rovlar yuboradi. Server tinimsiz kelayotgan so‘rovlarga javob berish
bilan ovora bo‘lib, asosiy ish faoliyatini yurita olmaydi. Server xizmat qilishdan voz kechadi.
Xizmat qilishdan voz kechish hujumidan himoyalanishning eng samarali yo‘llari quyidagilardir:
tarmoqlararo ekranlar texnologiyasi (Firewall);
IPsec protokoli.
Tarmoqlararo ekran ichki va tashqi perimetrlarning birinchi himoya qurilmasidir. Tarmoqlararo ekran
axborot-kommunikatsiya texnologiya (AKT)larida kiruvchi va chiquvchi ma’lumotlarni boshqaradi va
ma’lumotlarni filtrlash orqali AKT himoyasini ta’minlaydi, belgilanganlar asosida axborot tekshiruvini
amalga oshirib, paketlarning tizimga kirishiga qaror qabul qiladi. Tarmoqlararo ekran tarmoqdan
o‘tuvchi barcha paketlarni ko‘radi va ikkala (kirish, chiqish) yo‘nalishi bo‘yicha paketlarni belgilangan
qoidalar asosida tekshirib, ularga ruxsat berish yoki bermaslikni hal qiladi. Shuningdek, tarmoqlararo
ekran ikki tarmoq orasidagi himoyani amalga oshiradi, ya’ni himoyalanayotgan tarmoqni ochiq tashqi
tarmoqdan himoyalaydi. Himoya vositasining quyida sanab o‘tilgan qulayliklari, ayniqsa, paketlarni
filtrlash funksiyasi DOS hujumiga qarshi himoyalanishning samarali vositasi hisoblanadi. Paket
filtrlari quyidagilarni nazorat qilib boradi:
fizik interfeys, paket qayerdan keladi;
manbaning IP-manzili;
qabul qiluvchining IP-manzili;
manba va qabul qiluvchi transport portlari.
Tarmoqlararo ekran ba’zi bir kamchiliklari tufayli Dos hujumidan to‘laqonli himoyani ta’minlab bera
olmaydi:
loyihalashdagi xatoliklar yoki kamchiliklar — tarmoqlararo ekranlarning har xil texnologiyalari
himoyalana-yotgan tarmoqqa bo‘ladigan barcha suqilib kirish yo‘llarini hammasini ham o’z ichiga
olmaydi;
amalga oshirish kamchiliklari — har bir tarmoqlararo ekran murakkab dasturiy (dasturiy-apparat)
majmua ko‘rinishida ekan, u xatoliklarga ega. Bundan tashqari, dasturiy amalga oshirish sifatini
aniqlash imkonini beradigan va tarmoqlararo ekranda barcha spetsifikatsiyalangan xususiyatlar
amalga oshirilganligiga ishonch hosil qiladigan sinov o‘tkazishning umumiy metodologiyasi yo’q;
qo‘llashdagi (ekspluatatsiyadagi) kamchiliklar — tarmoqlararo ekranlarni boshqarish, ularni xavfsizlik
siyosati asosida konfiguratsiyalash juda murakkab hisoblanadi va ko‘pgina vaziyatlarda
tarmoqlararo ekranlarni noto‘g‘ri konfiguratsiyalash hollari uchraydi. Sanab o‘tilgan kamchiliklarni
IPsec protokolidan foydalangan holda tuzatish mumkin. Yuqoridagilarni umumlashtirib, tarmoqlararo
ekranlar va IPsec protokolidan to‘g‘ri foydalanish orqali DOS hujumidan yetarlicha himoyaga ega
bo‘lishi ham mumkin.
Port scanning hujum turi odatda tarmoq xizmatini ko‘rsatuvchi kompyuterlarga nisbatan ko‘p
qo‘llanadi. Tarmoq xavfsizligini ta’minlash uchun ko‘proq virtual portlarga e’tibor berishimiz kerak.
Chunki portlar ma’lumotlarni kanal orqali tashuvchi vosita hisoblanadi. Kompyuterda 65 536ta
standart portlar mavjud bo’lib. Kompyuter portlarini majoziy ma’noda masinaning eshigi yoki
derazasiga o‘xshatish ham mumkin. Portlarni tekshirish hujumi esa o‘g‘rilar mashinagakirishdan
oldin eshik va derazalarni ochiq yoki yopiqliginikuzadishga o’xshaydi. Agar deraza ochiqligini ko’rsa,
mashinaga kirish
oson kechadi. Hakker
hujum
qilayotgan
vaqtda port
ochiq
yoki
foydalanilmayotganligi haqida ma’lumot olishi uchun Portlarni tekshirish hujumidan foydalanadi.Bir
vaqtda barcha portlarni tahlil qilish maqsadida xabar yuboriladi, natijada real vaqt davomida
foydalanuvchi kompyuterning qaysi portini ishlatayotgani aniqlanadi, bu esa kompyuterning nozik
nuqtasidir. Shu ma’lum bo‘lgan port raqami orqali foydalanuvchi qanday xizmatni ishlatayotganini
aniqlab aytish mumkin. Masalan, tahlil natijasida quyidagi port raqamlari aniqlangan bo‘lsin, aynan
shu raqamlar orqali foydalanilayotgan xizmat nomini aniqlash mumkin bo’ladi.
Port #21: FTP (File Transfer Protocol) fayl almashish protokoli;
Port #35: Xususiy printer server;
Port #80: HTTP traffic (Hypertext Transfer [Transport] Protocol) gipermatn almashish protokoli;
Port #110: POP3 (Post Office Protocol 3) E-mail portokoli.
Portlarni tekshirish hujumiga qarshi samarali himoya yechimi tarmoqlararo ekran texnologiyasidan
unumli foydalanishjuda kata samara beradi. Barcha portlarni bir vaqtda tekshirish haqidagi kelgan
so‘rovlarga esa nisbatan tarmoqlararo ekranga maxsus qoida joriy etish yo‘li bilan hujumni yqotish
mumkin.
XulosaYuqorida ta’kidlaganimizdek, Xujumlarni aniqlashda ko’plab imkoniyatlari bisyor. Bu kurs
ishida Axborot xavfsizligi fanidan Xujumlarni aniqlash mavzusiga to’xtaldik. Xujumlarni aniqlash
haqida ma’lumotlar keltirildi. U qaysi Kompyuter hujumlari va ularni aniqlash texnologiyalari,hujum
modellari va h.k.z lar haqida to’xtalib o’tildi. Bundan tashqari Tarmoq topologiyasini aniqlash,
Tugunni aniqlash. Ularni bir- biridan afzalliklari aytildi.
Bugungi kunga kelib, qancha hujum usullari mavjudligi noma’lum. Mutaxasislarning aytishicha,
hozirgi kunga qadar bu sohada jiddiy matematik tadqiqotlar olib borilmagan. Eng asosiysi,
Shubhasiz, hujumlar soni cheksizdir, chunki viruslar ko’plab hujumlarning to’plami. Kurs ishida esa
bu keng yoritilgan va ma’lumotlar yetarlidir.
Kompyuter hujumlari va ularni aniqlash texnologiyalarida, hujum modellari va hujum bosqichlari
haqida ancha ma’lumor bor. Bu modellarni ishlatish rasmlar bilan ko’rsatib qo’yilgan. Xujumlarni
aniqlashga alohida to’xtalib o’tilgan.
Xujumlarni aniqlash haqidagi ma’lumotlar judaaa ko’plab misollar bilan ko’rsatib o’tilgan. Hujumni
aniqlashning o'zi etarli emas - bunga javoban javob berish kerak. Bu asosan hujumlarni aniqlash
tizimining samaradorligini aniqlaydigan javob variantlari hisoblanganligi. Yuqorida esa javob
variantlari taklif etiladi. Shu sababli, uning 6 ga bo’lingan qisimlari ham keltirib qo’yilgan.
Xulosa qilib aytadigan bo’lsam, men kurs ishimda Xujumlarni aniqlash haqida ma’lumotlar berdim va
Axborot xavfsizligi fanidan hujumlarni oldini olish to’g’risiga doir misollar keltirdim, Aniqlangan
hujumlarga reaktsiyalar variantlari.
Men ushbu ma’lumotlarni juda ko’plab kitoblar titkilashim davomida yig’dim. Har bir yozgan
ma’lumotim davomida mazmuni bilan yanayam chuqurroq tanishib chiqdim. O’z bilim va
ko’nikmalarimni oshirib oldim va Axborot xavfsizligi fanidan ham yangi bilimlarga ega bo’ldim.
1.Foydalanilgan adabiyotlar
«Kompyuterlashtirishni yanada rivojlantirish va axborot-kommunikatsiya texnologiyalarini joriy etish
to‘g‘risida»gi Farmoni - T.:2002-yil 30-may.
Mirziyoyev Sh.M. Biz buyuk kelajagimizni mard va oliyjanob xalqimiz bilan birga quramiz – T.:
“O‘zbekiston”, 2016-yil,-384b
Dоmarev V.V Bezоpasnоst infоrmatsiоnno’x texnоlоgiy: metоdоlоgiya sоzdaniya sistem zahito’ G’
V.V. Dоmarev. – M.: SPb; Kiev: DS DifSoft , 2001. - 688s
Petrakоv A.V. Оsnоvo’ prakticheskоy zahito’ infоrmatsii.: - M.: Radiо i svyaz ., 1999 g.
Rоmanets Yu.V., Timоfeev P.A., Shan gin V.F. Zahita infоrmatsii v Kоmpyuterno’x tizimx i setyax.- M.:
Radiо i svyaz , 1999 g.
Kulakоv M.V., Garanin A.V., Infоrmatsiоnnaya bezоpasnоst telekоmmunikatsiоnno’x sistem
(texnicheskie aspekto’) Ucheb. Pоsоbie dlya vuzоv M.: Radiо i Svyaz 2
Dostları ilə paylaş: |